Depuis l’entrée en vigueur en septembre 2020 des précisions sur l’obligation d’annoncer les cyberattaques (voir également la communication FINMA sur la surveillance 05/2020), au total 160 annonces de cyberattaques d’importance significative ont été effectuées jusqu’à la fin de 2022. 63 annonces ont été transmises en 2022, dont 48 concernaient des banques. Plus de la moitié des cyberattaques visaient de petits établissements. Environ un quart des attaques visaient des établissements des catégories de surveillance 3 et 4, et une seule cyberattaque concernait un établissement de plus grande taille (voir également le graphique «Cyberattaques annoncées à la FINMA en 2022», ci-dessus). Des informations détaillées sur les annonces reçues figurent dans le monitorage des risques 2022.
Par conséquent, dans son monitorage des risques qu’elle publie chaque année, la FINMA a qualifié aussi en 2022 le cyberrisque comme l’un des sept risques principaux menaçant la place financière. Lors de la surveillance de ce risque, la FINMA a mis la priorité sur deux aspects: d’une part, elle a observé et évalué continuellement la situation en matière de menace de même qu’analysé les cybersignalements; d’autre part, elle a effectué des contrôles sur place spécifiques auprès des assujettis ainsi que des analyses de scénarios.
Après des activités DDoS (distributed denial of service, déni de services) nombreuses l’année précédente, ce sont en 2022 des attaques au moyen de maliciels qui ont été constatées et qui ont menacé l’intégrité des composantes informatiques essentielles. Les cybersignalements ont montré, en outre, que l’accès non autorisé à l’infrastructure des assujettis est resté le premier objectif des attaques. Le plus souvent, les attaques se faisaient par l’intermédiaire d’un prestataire de services externe dans le cadre d’une externalisation des prestations. Viennent ensuite les attaques via Internet.
De nombreuses attaques annoncées contre les banques (66%) ont ciblé, au cours de l’année sous revue, les établissements des catégories de surveillance 4 et 5. Il est apparu que ces derniers étaient particulièrement vulnérables aux attaques. Celles-ci ont souvent affecté les technologies de l’information et de la communication qui avaient été externalisées à des tiers (outsourcing). Dans ce cadre, il a été observé qu’il manquait des exigences claires en matière de cybersécurité vis-à-vis des prestataires ou que le respect des exigences n’était pas régulièrement contrôlé. En outre, la FINMA a constaté que fréquemment, la gestion opérationnelle qualitative des risques ne tenait pas explicitement compte du cyberrisque et, de ce fait, qu’aucune gestion des risques systématique et globale dans le domaine des cybertechnologies n’était assurée.
Lors de la révision totale de la circulaire sur la gestion des risques opérationnels auprès des banques (voir le chapitre «Révision de circulaires», p. 69), les prescriptions prudentielles concernant les cyberrisques ont aussi été revues de manière ciblée. Ces révisions comprenaient notamment des précisions concernant l’inventaire de la technologie de l’information et de la communication (TIC) comme base pour une identification rapide des points faibles et des liens entre menaces et risques (threat intelligence).
(Extraits du rapport annuel 2022)